Odido-hack blijkt veel groter dan gedacht: openbaar ministerie start strafrechtelijk onderzoek

2026-02-25 binnenland

Nederland, woensdag, 25 februari 2026.
Het Openbaar Ministerie onderzoekt nu strafrechtelijk de cyberaanval op Odido nadat bleek dat hackers toegang hadden tot veel meer klantgegevens dan eerst gemeld. Criminele groep ShinyHunters eist meer dan één miljoen euro losgeld en dreigt donderdag alle gestolen data van 6,2 miljoen klanten online te zetten. De gelekte informatie bevat niet alleen namen en adressen, maar ook zeer gevoelige aantekeningen over kwetsbare klanten uit het contactsysteem. Cybersecurity-experts waarschuwen dat betalen riskant is omdat criminelen vaak terugkomen voor meer geld.

Criminelen hadden toegang tot véél meer dan gedacht

De Odido-hack blijkt veel erger dan het bedrijf aanvankelijk toegaf [1]. Cybercriminelen van groep ShinyHunters kregen niet alleen toegang tot de basisgegevens van 6,2 miljoen klanten, maar ook tot ‘aanvullende gegevens uit het klantcontactsysteem’ [2]. Dit betekent dat hackers zeer gevoelige aantekeningen konden inzien zoals ‘Ex heeft zich voorgedaan als contractant’ en informatie over klanten die ‘door een moeilijke periode gaan’ [1]. Van de 10.000 onderzochte klantdossiers hadden 266 mensen zo’n gevoelige aantekening en bij 128 gevallen stonden gegevens van een bewindvoerder genoteerd [1]. Dit soort informatie maakt klanten extra kwetsbaar voor gerichte oplichting. Het Openbaar Ministerie is inmiddels een strafrechtelijk onderzoek gestart [2], maar een woordvoerder wil geen details geven over de inhoud.

Losgeldeis van meer dan een miljoen euro loopt morgen af

ShinyHunters eist een bedrag van ‘zeven cijfers’ - tussen de 1 en 10 miljoen euro - en dreigt morgen (donderdag 26 februari) alle gestolen data op het dark web te publiceren [2][3]. De hackersgroep beweert 21 miljoen regels aan data van 8 miljoen klanten te hebben gestolen, veel meer dan de 6,2 miljoen accounts die Odido erkent [3]. Deze criminelen staan bekend om het succesvol hacken van bedrijven zoals Microsoft, Ticketmaster en Louis Vuitton [2]. Als de data daadwerkelijk online komen, kunnen andere criminelen deze eenvoudig misbruiken voor phishing en identiteitsfraude [3]. Cybersecurityexpert Dave Maasland van ESET Nederland waarschuwt: ‘Als er geen gegevens online komen, heeft het bedrijf waarschijnlijk betaald of een andere deal gesloten’ [4].

Klanten al doelwit van nepberichten na datalek

Het datalek heeft al tot concrete problemen geleid voor Odido-klanten. Criminelen versturen valse sms-berichten vanaf ‘+31 6 42156651’ waarin staat dat klanten hun gegevens moeten bijwerken vanwege het datalek [5]. Deze berichten leiden naar de nepwebsite ‘https://ndld-afl.com‘ waar persoonlijke informatie wordt gestolen [5]. Experts raden af om losgeld te betalen omdat dit hackersgroepen alleen maar sterker maakt [4]. ‘Als je nu betaalt, komen ze de volgende keer beter bewapend terug’, waarschuwt Maasland [4]. Voor getroffen klanten betekent dit dat ze extra alert moeten zijn op verdachte berichten en facturen. Odido biedt wel gratis F-Secure beveiliging aan voor 24 maanden [6], maar veel klanten overwegen over te stappen naar andere providers vanwege de manier waarop het bedrijf met de crisis omgaat [6].

Bronnen

datalek cyberaanval